Actualizaciones automáticas: ¿seguridad o riesgo?

Las actualizaciones son un elemento clave de la seguridad, pero no estoy tan seguro de que se pueda afirmar lo mismo sobre las actualizaciones automáticas. Y hago esta reflexión al hilo de una publicación de ZDNet en base a una recomendación emitida por el Centro Nacional de Seguridad Cibernética del Reino Unido. En la misma, tras poner el foco en la importancia de mantener el software siempre actualizado, especialmente en lo referido a las actualizaciones de seguridad, se habla sobre la idoneidad de activar las actualizaciones automáticas:

«Patching is now so much easier and so much less risky than it was when we first started doing this stuff. If there’s one thing that anyone out there wants to take away, turn on automatic updates, please – even if you’re an enterprise, turn on automatic updates» dijo el Dr. Ian Levy, director técnico del NCSC, hablando en el evento virtual CYBERUK 2021 de la agencia de ciberseguridad británica.

Entiendo, desde luego, ese punto de vista. Diariamente sabemos de casos de ataques en los que la víctima lo ha sido por no haber actualizado su software, aún cuando ya habían transcurrido grandes periodos de tiempo desde que se publicaron actualizaciones que corregían dichos problemas. Un ejemplo de ello lo tenemos en el caso de Travelex, que mantuvo durante meses una versión insegura de su software de VPN, pese a haber recibido avisos para que la actualizara.

Las actualizaciones automáticas son, sin duda, mucho mejor que ser víctima de un ataque de cualquier tipo, por lo que si hablamos de un todo o nada, evidentemente me quedo con las actualizaciones automáticas. Sin embargo, está claro que tampoco son la solución para todos los problemas, pues en no pocas ocasiones aunque añaden funciones y corrigen problemas, traen de su mano otros problemas que también pueden tener una incidencia muy  negativa.

Hace solo unos días, un compañero de MuyComputer nos contaba la odisea que se desencadenó en su PC tras una actualización de Windows 10. Y doy fe de que fueron bastantes las horas que tuvo que dedicarle al incidente, y solo por su pericia y su cautela proactiva y reactiva no sufrió ninguna pérdida que podamos calificar de crítica. ¿Y qué ocurriría si en una empresa con, pongamos, 200 equipos, se aplica esa misma actualización y todos sufren ese mismo fallo?

Y el problema es que los errores en las actualizaciones no son precisamente una rara avis. Muy al contrario, por desgracia estamos acostumbrados a ver cómo, con una incidencia menor o mayor, la mayoría de grandes actualizaciones de software y sistemas operativos llegan con algunos flecos que deben ser pulidos. Y esto en un entorno de productividad hace que las actualizaciones automáticas no sean en absoluto recomendables.

Es cierto que existen versiones de ciclo de vida extendida, especialmente en los sistemas operativos, que reducen sustancialmente los riesgos asociados a las actualizaciones, y que suelen llegar a los usuarios cuando su grado de fiabilidad ya es muy elevado. Sin embargo no podemos decir lo mismo de la gran mayoría del software, donde este formato es una excepción, y dónde las actualizaciones automáticas, por lo tanto, pueden ser más peligrosas.

Así, repito lo que decía antes: entiendo lo que lleva al Dr. Ian Levy a realizar esta afirmación, y coincido plenamente en que mejor las actualizaciones automáticas que la nada. Sin embargo, creo que dicha observación debería llegar de la mano de otra igual de importante, y que recuerde que esta política también puede tener sus consecuencias negativas.

La entrada Actualizaciones automáticas: ¿seguridad o riesgo? es original de MuySeguridad. Seguridad informática.